Mozilla Company om massans uppkomst med tillägg för Firefox. För alla webbläsare blockerades tillägg på grund av att certifikatet som användes för att generera digitala signaturer löpte ut. Dessutom noteras att det är omöjligt att installera nya tillägg från den officiella katalogen (addons.mozilla.org).
Vägen ut ur denna situation för nu , Mozilla-utvecklare överväger möjliga korrigeringar och har hittills begränsat sig till enbart generell bekräftelse av situationen. Det nämns bara att tilläggen blev inaktiva efter 0 timmar (UTC) den 4 maj. Certifikatet var tänkt att förnyas för en vecka sedan, men av någon anledning blev det inte så och detta faktum gick obemärkt förbi. Nu, några minuter efter att webbläsaren startat, visas en varning om att tillägg har inaktiverats på grund av problem med den digitala signaturen, och tillägg försvinner från listan. Den digitala signaturen kontrolleras en gång om dagen eller efter att webbläsaren har startat, så i långvariga instanser av Firefox kanske tillägg inte inaktiveras omedelbart.
Som en lösning för att återställa åtkomst till tillägg för Linux-användare kan du inaktivera verifiering av digital signatur genom att ställa in variabeln "xpinstall.signatures.required" till "false" i about:config. Denna metod för stabila och betaversioner fungerar bara på Linux och Android; för Windows och macOS är sådan manipulation endast möjlig i nattliga versioner och i Developer Edition. Som ett alternativ kan du även ändra värdet på systemklockan till tiden innan certifikatet löper ut, då kommer möjligheten att installera tillägg från AMO-katalogen att återkomma, men den redan installerade inaktiveringsflaggan tas inte bort.
Låt oss påminna dig om att obligatorisk verifiering av Firefox-tillägg med digitala signaturer var i april 2016. Enligt Mozilla låter verifiering av digital signatur dig blockera spridningen av skadliga och spionerande tillägg. Vissa tilläggsutvecklare med denna ståndpunkt tror de att mekanismen för obligatorisk verifiering med hjälp av en digital signatur bara skapar svårigheter för utvecklare och leder till en ökning av tiden det tar att föra ut korrigerande utgåvor till användarna, utan att det påverkar säkerheten på något sätt. Det finns många triviala och uppenbara att kringgå den automatiska kontrollen efter tillägg som tillåter att skadlig kod infogas obemärkt, till exempel genom att generera en operation i farten genom att sammanfoga flera strängar och sedan exekvera den resulterande strängen genom att anropa eval. Mozillas position Anledningen är att de flesta författare av skadliga tillägg är lata och kommer inte att ta till sådana tekniker för att dölja skadlig aktivitet.
Tillägg: Mozilla Developers om starten av att testa korrigeringen, som, om den testas framgångsrikt, snart kommer att kommuniceras till användarna (beslutet om att tillämpa den föreslagna korrigeringen har ännu inte tagits). Generering av digitala signaturer för nya tillägg är inaktiverat tills korrigeringen tillämpas.
Källa: opennet.ru